Стандарт BS 7799-2. Четырехфазная модель процесса управления информационной безопасностью

Мы приступаем к детальному рассмотрению четырехфазной модели процесса управления информационной безопасностью (планирование -реализация - оценка - корректировка, ПРОК), описанной в стандарте BS 7799-2:2002.

Процесс управления имеет циклический характер; на фазе первона­чального планирования осуществляется вход в цикл. В качестве первого шага должна быть определена и документирована политика безопасности организации.

Затем определяется область действия системы управления информа­ционной безопасностью. Она может охватывать всю организацию или ее части. Следует специфицировать зависимости, интерфейсы и предполо­жения, связанные с границей между СУИБ и ее окружением; это особенно важно, если в область действия попадает лишь часть организации. Боль­шую область целесообразно поделить на подобласти управления.

Результат анализа рисков - выбор регуляторов безопасности. План должен включать график и приоритеты, детальный рабочий план и рас­пределение обязанностей по реализации этих регуляторов.

На второй фазе - фазе реализации - руководством организации вы­деляются необходимые ресурсы (финансовые, материальные, людские, временные), выполняется реализация и внедрение выбранных регулято­ров, сотрудникам объясняют важность проблем информационной безо­пасности, проводятся курсы обучения и повышения квалификации. Ос­новная цель этой фазы - ввести риски в рамки, определенные планом.

Оценка (третья фаза) может выполняться в нескольких формах:

• регулярные (рутинные) проверки;

• проверки, вызванные появлением проблем;

• изучение опыта (положительного и отрицательного) других орга­низаций;

• внутренний аудит СУИБ;

• инспекции, проводимые по инициативе руководства;

• анализ тенденций.

Аудит должен выполняться регулярно, не реже одного раза в год. В процессе аудита следует убедиться в следующем:

• политика безопасности соответствует производственным требо­ваниям;

• результаты анализа рисков остаются в силе;

• документированные процедуры выполняются и достигают по­ставленных целей;

• технические регуляторы безопасности (например, межсетевые эк­раны или средства ограничения физического доступа) расположе­ны должным образом, правильно сконфигурированы и работают в штатном режиме;

• действия, намеченные по результатам предыдущих проверок, вы­полнены.

Даже если недопустимых отклонений не выявлено и уровень безо­пасности признан удовлетворительным, целесообразно зафиксировать из­менения в технологии и производственных требованиях, появление новых угроз и уязвимостей, чтобы предвидеть будущие изменения в системе управления.

• Назначение фазы оценки - проанализировать, насколько эффективно работают регуляторы и система управления информационной безопас­ностью в целом. Кроме того, следует принять во внимание изменения, произошедшие в организации и ее окружении, способные повлиять на результаты анализа рисков. При необходимости намечаются корректи­рующие действия, предпринимаемые в четвертой фазе.

Систему управления информационной безопасностью надо постоян­но совершенствовать, чтобы она оставалась эффективной. Эту цель пре­следует четвертая фаза рассматриваемого в стандарте цикла - корректи­ровка. Она может потребовать как относительно незначительных дейст­вий, так и возврата к фазам планирования (например, если появились но­вые угрозы) или реализации (если следует осуществить намеченное ранее).

Коррекция должна производиться, только если выполнено по край­ней мере одно из двух условий:

• выявлены внутренние противоречия в документации СУИБ;

• риски вышли за допустимые границы.

При корректировке прежде всего следует устранить несоответствия следующих видов:

• отсутствие или невозможность реализации некоторых требований СУИБ;

• неспособность СУИБ обеспечить проведение в жизнь политики безопасности или обслуживать производственные цели организа­ции.